پسازآنکه هفته گذشته محققی در حوزه امنیت یک آسیبپذیری در Apache Struts که یک بخش از چارچوبهای طراحی نرم افزارهای سازمانی است کشف کرد ، تلاشها برای سوءاستفاده از این آسیبپذیری در هفته جاری آغاز شد. آسیبپذیری موردنظر (CVE-2018-11776) بهعنوان ، یک آسیبپذیری اجرای کد از راه دور (RCE) است که اجازه میدهد تا مهاجم کنترل برنامههای وب مبتنی بر Struts را به دست آورد. با توجه به تجزیهوتحلیل Palo Alto Network این آسیبپذیری بهصورت پیشفرض در تنظیمات Struts غیرقابل بهرهبرداری است، اما اساساً، با توجه به اینکه Struts توسط برخی از بزرگترین شرکتهای جهان مورداستفاده قرار میگیرد (ازجمله Equifax، که در سال گذشته به علت نقص Struts دچار نقض حریم اطلاعاتی شدید شده است) این آسیبپذیری برای همه حائز اهمیت است.
چندین اثبات در هفته گذشته منتشر شد
چندین محقق امنیتی با استفاده از اسکریپتهای اثبات مفهوم (POC)، اثباتهای مختلفی را برای CVE-2018-11776 قرار دادهاند که شامل یک آموزش گامبهگام میشود. دریکی از این POCs ها ابزار بهرهبرداری از Struts قرار دادهشده است که ترکیبی از آسیبپذیریهای از راه دور قبلی کد Struts است که بهنوعی رؤیای هکرهاست را به آنها میدهد. اما علیرغم انتشار بسیاری از ابزارهای هک Struts و اثبات مفهوم، حملات بلافاصله اتفاق نیفتاد.
اولین حملات
تلاشهای فعال برای بهرهبرداری از CVE-2018-11776 تا ۵ شهریور انجامنشده بود. “نخستین تلاشهای برای بهرهبرداری از آسیبپذیریهای Struts از ۶ شهریورماه انجام شد.” Matthew Meltzer تحلیلگر امنیتی شرکت Volexity طی یک گفتگوی خصوصی با Bleeping Computer این اتفاق را بیان کرد. Meltzer اضافه کرد: “ما شاهد پویش و بهرهبرداری از تلاشهای نسبتاً وسیع در سراسر مجموعهای گسترده از اهداف پراکنده جغرافیایی هستیم.”
شرکت Greynoise یافتههای Meltzer را در توییتر تائید کرد. Greynoise میگوید پویش و تلاش برای بهرهبرداری از این نقص از چهار آدرس IP ثبتشده است که کارشناسان شرکت معتقدند بخشی از یک باتنت هستند.
- ۱۶۱.۲۲۵.۹۴
- ۲۳.۸۳.۳۰
- ۱۸۹.۲.۹۷
- ۱۷۳.۱۴۶.۴۰
همچنین شرکت Volexity طی یک گزارش در وبلاگ خود تائید کرد که برخی از پویشها از آدرس ۹۵.۱۶۱.۲۲۵.۹۴ آمده است.
Volexity در گزارشی در وبلاگش تائید کرد که برخی از پویشها از جانب آدرس IP های ۹۵.۱۶۱.۲۲۵.۹۴ و ۱۶۷.۱۱۴.۱۷۱.۲۷ میباشند که هردوی اینها بهعنوان منبع بسیاری از عملیات پویش اینترنتی هستند.
مهاجمان سرورها را با coinminers آلوده میکنند
محققان Volexity پس از تجزیهوتحلیل برخی از این تلاشها برای بهرهبرداری میگویند که قادر به مشخص کردن ماهیت دقیق این حملات بودند. این شرکت میگوید گروه پشت این پویشها از CVE-2018-11776 برای شکستن برنامههای Struts استفاده میکند و سروری که برای آن قرارگرفته را با یک نسخه از CNRig cryptocurrency miner که از مخزن BitBucket دانلود شده است آلوده کردهاند.
در حال حاضر، در مقایسه با دیگر نوعهای پویش برای آسیبپذیری، این حملات در مقیاس کوچکی هستند. تا تاریخ ۷ شهریور بهرهبرداری indiscriminate در مقیاس وسیع هنوز مشاهده نشده است. به دلیل اینکه محققان Palo Alto Networks اشارهکردهاند که برنامههای Struts در تنظیمات پیشفرض آنها نسبت به CVE-2018-11776 آسیبپذیر نیستند، به این معنی است که سرورهای کمی احتمال آسیبپذیری دارند، درنتیجه تلاش برای بسیاری از کلاهبرداران نتیجهای نخواهد داشت.
اعمال وصله های امنیتی آسیب پذیری های قدیمی تر Struts را جدی بگیرید.
مهاجمان همچنان بهصورت فعال برای Struts های گذشته پویش انجام میدهند
بازخوانی فعالیتها نشان میدهد درحالیکه مهاجمان علاقه زیادی به CVE-2018-11776 ندارند، اما به ضعفهای قدیمی Struts علاقه نشان میدهند. ملتزر به Bleeping Computer گفت: “پس از انتشار کد PoC برای CVE-2018-11776، ما شاهد افزایش پویش برای آسیبپذیریهای Struts نیز هستیم”.
اگر برای اعمال وصله های امنیتی برنامههای مبتنی بر Struts خود وقت نگذارید، حداقل وصله های امنیتی آسیب پذیری های قدیمیتر مانند CVE-2013-2251، CVE-2017-5638 و CVE-2017-9805 را اعمال نمایید.
نقص فعلی Struts (CVE-2018-11776)، Apache Struts نسخههای ۲.۳ تا ۲.۳.۳۴ و ۲.۵ تا ۲.۵.۱۶ را تحت تاثیر قرار داده است. تیم توسعه Apache Struts با انتشار نسخه ۲.۳.۳۵ و ۲.۵.۱۷ این مسئله را رفع کرده است.
وصلهها امنیتی را اعمال کنید.
